Dans le cadre de la mission d'établissement de la paie, les experts-comptables manipulent un grand nombre d'informations, dont certaines considérées comme sensibles (éléments relatifs aux enfants mineurs ou liées à l'état de santé des salariés par exemple) ou devant faire l'objet d'un traitement particulier (numéro de Sécurité sociale notamment).
Or, de nombreux cabinets transmettent chaque mois à leurs clients les bulletins de salaire par simple courriel, se plaçant ainsi en situation de risque au regard du règlement général sur la protection des données (RGPD). Les sanctions encourues sont lourdes, sans parler des conséquences pour l'image des cabinets, bâtie avant tout sur la confiance. Pourtant, des solutions techniques simples permettent de se mettre rapidement en conformité, tant pour la production de bulletins que pour la gestion interne des ressources humaines.
Quel est le statut du cabinet dans le cadre de la mission d'établissement des bulletins de paie ?
En matière de protection des données, la qualité de chaque intervenant (responsable du traitement, responsable conjoint, sous-traitant) détermine le niveau d'obligation applicable. La répartition des tâches dans la lettre de mission est donc particulièrement importante.
Mais dans la mesure où le client donne des instructions claires au cabinet pour établir la paie, et définit précisément ses tâches, on considère généralement que :
- le client est responsable du traitement des données personnelles et de leur finalité ;
- le cabinet est sous-traitant des données.
C'est aussi le cas si le cabinet propose une mission de conseil, dans la mesure où il est clairement tenu d'agir selon les instructions de la société cliente (position issue d'un avis du G29, citée par le CSOEC, et reprise sur le site de la commission européenne).
Quelle est la responsabilité du cabinet en tant que sous-traitant de données ?
L'enjeu est double : il s'agit à la fois de mettre le cabinet en conformité avec le RGPD, mais aussi de répondre, vis à vis du client, à certaines obligations prévues par ce règlement.
En tant que sous-traitant, les experts-comptables sont en effet responsables de la sécurisation des données et doivent faire face à des obligations lourdes : intégrer les principes relatifs à la protection des données dans chacun des services et outils proposés, garantir leur sécurité, mais aussi mettre à disposition les informations permettant de démontrer le respect des obligations RGPD, et enfin jouer un véritable rôle d'assistance, d'alerte et de conseil (notamment en cas d'exercice des droits découlant du RGPD par un salarié ou de violation des données).
Quelles sont les principales garanties de sécurité à apporter aux clients ?
En pratique, et en fonction des conditions prévues dans la lettre de mission, le cabinet doit notamment offrir des garanties en matière :
- de sécurité des données, avec notamment le traçage des accès, et d'après les recommandations de la CNIL, le chiffrage et l'anonymisation des données ;
- de droits d'accès : ils doivent être précisément définis en fonction des besoins réels de chaque personne (lecture, écriture, suppression) et des identifiants associés ;
- d'archivage : les bulletins de paie et reçus pour solde de tout compte doivent en principe être archivés pendant 5 ans à compter du versement de la paie.
Quelles sont les sanctions en cas de non conformité ?
Le cabinet peut faire face à des sanctions pénales et/ou administratives, voir sa responsabilité civile engagée, mais aussi mettre en péril son image de tiers de confiance.
Plusieurs infractions pénales sont en effet prévues par les textes en cas de non-respect des dispositions relatives aux données personnelles. Les sanctions peuvent aller jusqu'à 5 ans d'emprisonnement et 300 000€ d'amende.
Sur le plan administratif, la CNIL a un pouvoir d'enquête et de sanction, incluant un avertissement pouvant être rendu public (avec les conséquences qu'on peut imaginer sur l'image du cabinet), un rappel à l'ordre, une limitation temporaire ou définitive du traitement des données, ou des amendes administratives pouvant atteindre :
- 10 millions d'€ ou 2% du chiffre d'affaires annuel mondial ;
- voire 20 millions d'€ ou 4% du chiffre d'affaires annuel mondial en cas de mise en ? uvre de transferts de données vers des pays tiers ou une organisation internationale sans que les conditions requises soient respectées.
Attention
Ce pouvoir de sanction est tout sauf théorique. Et contrairement à ce que l'on pourrait penser, il ne vise pas que les groupes internationaux du numérique. En juin 2019, une société de promotion immobilière a été condamnée à verser une amende de 400 000€ pour atteinte à la sécurité des données, entre autres, parce qu'aucune procédure d'authentification fiable pour l'accès aux documents clients n'avait été mise en place. En juillet 2019, une société d'assurances a d» verser 180 000€ pour atteinte à la sécurité des données de ses clients, la CNIL lui reprochant notamment de ne pas avoir imposé aux utilisateurs « d'utiliser des mots de passe plus robustes et [de] les transmettre en clair par courriel ".
Enfin, la personne dont les données personnelles ont été violées peut obtenir réparation sur le terrain de la responsabilité civile, une responsabilité solidaire entre le responsable de traitement et le sous-traitant pouvant même être engagée si les rôles et responsabilités de chacune des parties ne sont pas définis clairement dans la lettre de mission.
Comment mettre en conformité le cabinet au regard du RGPD ?
Tout d'abord en mettant fin à l'envoi des bulletins de salaire par mail. La position de la CNIL à ce sujet est claire :
« La messagerie électronique ne constitue pas un moyen de communication s»r pour transmettre des données personnelles, sans mesure complémentaire. Une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. En outre, toute entité ayant accès aux serveurs de messagerie concernés (notamment ceux des émetteurs et destinataires) peut avoir accès à leur contenu ".
Une plateforme sécurisée d'échange de fichiers, connectée aux outils du cabinet, est donc un moyen à la fois simple et efficace de répondre aux exigences du RGPD, et ce pour plusieurs raisons :
- la sécurisation totale de la chaine, dès la collecte des infos, les clients pouvant déposer informations et fichiers directement sur le portail dédié ;
- la fiabilisation de la production, les documents émis par les logiciels métiers du cabinet étant livrés automatiquement sur l'extranet ;
- la gestion des permissions, dossier par dossier, avec autant d'accès que nécessaire ;
- la garantie de traçabilité des données avec la conservation de l'historique des mouvements de fichiers.
« [En matière de digitalisation] l'objectif qui me semblait le plus simple à atteindre était d'orienter déjà les clients pour lesquels le cabinet réalise des paies, afin de leur transmettre de façon sécurisée, grâce à la plateforme [...], et donc d'arrêter les flux de courrier mais aussi d'interdire aux collaborateurs tout envoi par mail en lien avec les données sociales. Aucune dérogation n'est possible. Tout ce qui concerne le social est soit transmis par la plateforme, qui est conforme au RGPD (ce qui représente 95% de nos dossiers désormais), soit par courrier papier pour nos deux seuls clients réfractaires " (Laure Delaquaize, expert-comptable au sein du cabinet RLD).
De façon plus générale, le CSOEC propose un plan de mise en conformité de la mission d'établissement des bulletins de paie en 5 étapes, en passant par la réalisation d'un audit technique, la mise à jour du registre des traitements ou encore la revue des lettres de mission pour définir clairement les rôles de chacun.
Quels sont les autres avantages à passer par une plateforme sécurisée ?
La transmission des bulletins de paie est sans doute l'étape la plus simple à mettre en ? uvre pour engager ses clients dans une démarche de transformation numérique et lui faire percevoir de façon très concrète les bénéfices qu'il peut en tirer.
Mais au delà du respect de la réglementation applicable aux données, l'utilisation d'une plateforme d'échange apporte en effet de nombreux avantages :
- image de modernité du cabinet auprès des clients et collaborateurs, et donc facteur d'attractivité ;
- amélioration de la productivité, les temps de déplacement de fichiers, d'envoi au client, ou d'échange au sein du cabinet étant tout simplement supprimés (certains cabinets parvenant ainsi à réduire de 40% le volume de courriels échangés) ;
- fiabilisation des données transmises, avec la conservation d'un historique des modifications.